Clickjacking от А до Я / Хабр
Дорогой друг, здравствуй!
В этом посте пойдет о речь о сущности Clickjacking атаки, методах воздействия на пользователя и противодействия данной уязвимости.
Что есть Clickjacking?
Кликджекинг (англ. Clickjacking) — механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу. Wiki
Говоря по-русски, мы создаем страницу, используя iframe, или аналогичный метод, сделав его полностью прозрачным, и разместив поверх него определенный текст. Тем самым, мы можем ввести пользователя в заблуждение и заставить его выполнить определенные действия.
Методы противодействия
Вы скажете: «Почему мы узнаем как противодействовать атаке, если даже не умеем её эксплуатировать?». Но ведь для использования атаки нужно удостовериться, что интересующий нас хост уязвим, только тогда мы сможем воспользоваться уязвимостью.
Существует несколько способ защиты. Ну по крайней мере так думают некоторые.
Дело в том, что когда в 2008 году сделали публичное разглашение данного типа атак (что брехня, ибо об этом говорили и раньше, просто в силу малой известности авторов, способ не уходил в массы) начали использовать easy fix для противодействия, что является псевдозащитой. А через некоторое время, браузеры начали поддерживать специальный заголовок, который ставит ограничения, либо вовсе запрещает загружать iframe на хостах, отличных от данного. Итак, разберем эти две защиты на живом примере.
top != self или псевдозащита
Как я уже говорил, данный способ появился почти сразу же, и являлся еще хоть какой-то защитой, до недавнего времени.
Рассмотрим пример «защиты». Имеем страницу, загружаемую в iframe.
Теперь внедряем код и даже видим, что она как будто бы работает.
Но с появлением HTML5 и поддержкой всеми современными браузерами, эта защита элементарно обходится.
HTML5 принес нам поддержку атрибута sandbox.
Скажем так, что это не единственная подобная «защита». Вся она основана на JS и легко обходится.
Заголовок X-Frame-Options
Данный заголовок позволяет нам полностью или частично ограничить загрузку ресурса в iframe. Обойти крайне трудно, т.к браузер обрабатывает заголовок напрямую и обход является уязвимостью браузера. Данный способ наиболее приемлем, на сегодняшний день.
Работа заголовка на google.ru
Clickjacking ВКонтакте
Ну вот мы и добрались до практического применения наших знаний.
Первое, что должен проверить пентестер, наличие заголовка.
Как мы видим, заголовок X-Frame-Options отсутствует, т.е сайт уязвим.
Попытавшись загрузить сайт в iframe, получаем непрогрузившуюся страницу.
Добавив sandbox, прогружаем страницу.
А вот и виновник
Размещаем текст под кнопкой «Вступить в группу».
Имеем страницу, ну или биткоин групп, если вы понимаете, о чем я 🙂
<html>
<head>
<title>Clickjacking vk.com</title>
<style>
iframe {
position: absolute;
opacity: 0.2;
z-index: 2;
}
</style>
</head>
<body>
<iframe sandbox src='http://m.vk.com/drinkingandcats'></iframe>
<a>Click to WIN!</a>
</body>
</html>
Ну вот, собственно, и все. Вид страницы может быть любым, но лучший способ атаки — повесить картинку крестика, закрытия баннера, поверх страницы. Лучший способ.
Скрипт кликджекинга, что делает и где его взять?
В головы хитрых вебмастеров нередко приходят хитрые мысли. Разрабатываются новые инструменты, сервисы и скрипты, помогающие в одном, но мешающие в другом.
Яркий тому пример кликджекинг, за который на многие сайты были наложены санкции Яндексом. На все хитрые схемы придумано противодействие.
Что такое кликджекинг в Яндекс? Это сбор дополнительной информации о посетителях, за счет использования всевозможных скриптов.
Чаще всего, это отслеживание страничек в социальных сетях. Человек заходит на сайт и сам того не подозревая ставит лайк, что помогает вебмастеру определить адрес его профиля.
Кликджекинг, как определить и устранить?
От поисковиков зависит уровень посещаемости сайта, поэтому нужно действовать осторожно. В первую очередь разберитесь, что не любит Яндекс на сайтах.
Кликджекинг тоже относится к тому, что плохо воспринимается поисковой системой. Ещё в 2015 году был внедрен новый алгоритм, который отслеживал применение кликджекинга.
Если на ваш сайт наложен фильтр за кликджекинг, а сами вы ничего не умеете и не понимаете, обращайтесь к профессионалам за помощью. На бирже Weblancer вы найдете специалистов разного направления.
Первый показатель того, что на ресурс были наложены санкции – это падение позиций, в среднем на 20 пунктов. Конечно, тому виной могут быть и другие факторы, поэтому нужно выяснять причину:
Решить проблему не так сложно, да и определить, что позиции просели именно из-за кликджекинга легко. Об этом должно быть оповещение в сервисе Яндекс.Вебмастер:
На этой странице можно попробовать снять ограничение, запустив перепроверку (я всё исправил). Не нажимайте её, пока действительно не уберете скрипт, так как проверка выполняется автоматически и повторно становится доступной только через месяц.
Не знаете, как всё исправить? Необходимо искать на страницах основного сайта и на всех поддоменах скрипт. Он может выглядеть так:
Только когда удалите кусок кода со всего сайта, смело запускайте проверку на наличие кликджекинга. Она выполняется около 2х недель, после чего напротив значения Фильтры, должен появиться ноль:
Позиции должны вернуться на место со следующим апдейтом. Однако лучше вообще не связываться с этим, ведь каждое падение позиций – это снижение качества ресурса, на которое поисковик может отрицательно среагировать.
Популярные кликджекинг сервисы
Некоторых не пугают санкции поисковых систем (есть сайты, куда направляется трафик с других источников).
Поэтому вебмастера ищут скрипт кликджекинг, чтобы собирать базы данных с контактами посетителей. Все они являются участниками целевой аудитории, поэтому смысл в таких действиях определенно есть.
Возможно, вам также пригодятся полезные сервисы для SMM специалистов.
Не ищите скрипт кликджекинг, намного удобнее пользоваться специальными сервисами. Суть у них одинаковая, поэтому выбирайте по дополнительным инструментам и расценкам:
Работают они одинаково, после регистрации и выбора тарифного плана потребуется добавить скрипт на свой сайт. Затем, в личном кабинете появляются базы данных с разной информацией о посетителях:
Подобные базы представляют ценность, но стоит ли жертвовать позициями сайта, ради этого? Здесь уже каждый решает самостоятельно.
Плохо разбираетесь в том, за что наказывают вебмастеров поисковики? Тогда вам точно нужно узнать, что такое пессимизация сайта.
Обратная сторона медали кликджекинга настолько нехорошая, что лучше не применять этот метод на основных сайтах.
Яндекс не накладывает фильтры, если скрипт не активен, но какой тогда от него толк? Собирайте данные только в том случае, когда основными источниками трафика площадки не являются поисковики.
Вам также будет интересно:
— Заработок в Яндекс Толока
— Как написать в Яндекс поддержку?
— Заработок Яндекс денег без вложений
Кликджекинг и «черный» способ получения контактов пользователя
Привет, друзья. Сегодня хотел бы поговорить об кликджекинге и об одном «черном» методе получения данных о пользователе с использованием этой технологии, порассуждать на эту тему и поделиться своим мнением.
Кроме того, было бы интересно узнать, что думаете по этому поводу вы, какую позицию занимаете, был ли у вас опыт использования кликджекинга на сайте для получения контактов пользователя, как это повлияло на прибыль и позиции сайта.
Для тех, кто впервые сталкивается с этим термином и технологией сбора информации о пользователях расскажу кратко в чем его суть, но сначала небольшое введение.
Наверное, многие из вас сталкивались с ситуацией, когда вы заходите на сайт, например, интернет-магазин. Посмотрели товары, возможно, даже что-то кинули в корзину, но потом, по какой-то причине не купили и закрыли сайт.
Через некоторое время с вами связывается менеджер этого магазина по телефону или в социальных сетях и говорит: «вы были на сайте, интересовались тем-то и тем-то, даже в корзину добавили смартфон, вот вам скидка 10% и бесплатная доставка. Возвращайтесь и закончите оформление заказа». При этом вы могли не оставить вообще никаких контактных данных магазину.
С одной стороны — прикольно. Вы получили скидку и бесплатную доставку, а с другой…
- Как магазин узнал ваши контактные данные?
- Откуда он знает номер мобильного?
- Что еще ему известно о вас?
- Не нарушает ли он закон и сборе персональных данных?
- Как данные используются?
- Кому передаются?
Особенно часто это можно встретить в финансовой сфере, во всяком случае жалоб в интернете больше всего из этой области. Когда банк или другая финансовая организация перезванивает с предложение выпустить карту, получить кредит или оформить займ, хотя вы никому не передавали свои контакты.
Налицо все признаки кликджекинга или, как его еще называют, соцфишинга, используемого на сайте. Я не знаю откуда появилось второе названия, видимо от одного из популярных сервисов, оказывающих подобные услуги Socfishing. О нем мы еще поговорим позже.
Что такое кликджекинг (clickjacking) и в чем заключается технология?
Кликджекинг — это такой механизм обмана пользователей на сайте, когда размещаются невидимые элементы, с которыми пользователь взаимодействует, не подозревая об этом.
Самым простым примером может быть реклама, которая расположена по верх ролика или кнопки на сайте. Человек жмет кнопку и ожидает одного действия, а его, например, перекидывают на другой сайт или предлагают посмотреть рекламу.
Это безобидный вариант кликджекинга, который просто раздражает, но что, если при подобном клике сервис узнает о вас гораздо больше, чем передает браузер. Например ФИО, дату рождения, чем интересуетесь, на какие группы в социальных сетях подписаны, номер телефона, email и многое другое…
Вот безобидный пример с полупрозрачным предложением вступить в группу. Хотя пользователь хочет нажать на текст «click here»
Кстати, сейчас если нажать, то появится уведомление, что приложение запрашивает доступ к данным, но раньше всего этого не было.
В реальности делается это все при помощи невидимого фрейма, например, с лайком от социальной сети, который следит за курсором. И когда вы хотите кликнуть на какой-то элемент, то происходит клик не по нему, а виджету с лайком или присоединением в друзья.
Таким образом вы становитесь жертвой злоумышленника, и он может из соцсети достать всю информацию про вас, конечно, в рамках той, которая там указана. При этом, дело не ограничивается только 1 социальной сетью. Если удалось выудить email, то специальные программы начинают пробивать вас везде и отовсюду добывать крупицы информации.
Вариантов развития событий множество, например, вас могут незаметно добавить в группу, а потом получить данные из профиля или, сейчас существуют и такие сервисы, когда клик вообще не требуется, например, когда одной из открытых вкладок в браузере является социальная сеть. То есть в одной вкладке магазин, в другой ВК.
Как видите, не всем это может понравится, поэтому, при всей привлекательности способа получения таким образом контактных данных для предпринимателя, многие люди и сервисы выступили против. Например Яндекс еще в 2015 году призвал всех владельцев сайтов отказаться от кликджекинга и сейчас даже существует фильтр за использование этой технологии.
Поэтому, с тех пор сервисы предоставляющие услуги подобного рода начали быстро «умирать». Казалось бы «не поиском единым». Есть контекст и много других способов привлечь на сайт, но со временем люди стали получать отклонения рекламных компаний по причине кликджекинга.
Конечно и социальные сети добавили ограничения и начали бороться с подобной технологией, так и не признавая ее уязвимостью, но часть похожих «дыр» все же существует, раз кликжекинг и соцфишинг до сих пор распространены.
Одним из таких сервисов, предоставляющих идентификацию пользователей в социальных сетях является вышеупомянутый SocFishing.com, который и привлек мое внимание. Они красиво расписывают свой продукт и выгода от такой услуги конечно же очевидна, в случае позитивной реакции пользователей и поисковиков.
Я попытался выяснить у техподдержки как происходит процесс идентификации, но они сказали, что это коммерческая тайна, а на вопрос требуется ли от пользователя какое-то взаимодействие с сайтом посредством клика, они утвердительно ответили, что нет.
По поводу кликджекинга так и не ответили, хотя я прямо спрашивал не он ли в основе работы сервиса, при этом заверили, что при наличии пользовательского соглашения, никаких проблем с законом не будет по поводу сбора персональных данных.
По поводу гарантий того, что наличие их скрипта не навредит продвижению их поддержка не дала. При этом честно предупредили, что обращения от пользователей по поводу санкций со стороны Яндекса были.
Интервью с основателем сервиса на SeoPult
Вот такой неоднозначный сервис.
Как вы относитесь к тому, что магазин, банк или юридическая фирма собирают таким образом данные о вас?Poll Options are limited because JavaScript is disabled in your browser.
Как видите, все на грани законности, здравого смысла, честности и порядочности. С одной стороны, они предупреждают, что нужна политика. А как о ней заявить пользователю это дело наше с вами. И вроде как правильно, их сервис снял с себя ответственность, при этом, насколько я понял, SocFishing начинает собирать информацию о нас до того, как мы прочтем соглашение либо кликнем не глядя на уведомление о принятии этого соглашения.
Как же тогда быть с отказавшимися. Как передать эту информацию в систему и удалить из нее пользователя, без личного письма администратору с просьбой удалить себя из базы, ведь если я отказался и не принял политику со сбором и обработкой моих данных, я ожидаю, что она не будет производиться. Видимо нам придется сделать так, чтобы скрипт загружался только после того, как пользователь согласился на обработку и сбор данных.
Посмотрите, что у них в предложенной политике написано:
Перечень действий с персональными данными Посетителя Сайта, на совершение которых дается согласие. Обработка персональных данных Посетителя, в соответствии с настоящей Политикой обработки данных, может включать в себя следующие действия (операции): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Как вам такое соглашение? При этом: «взаимодействуя с сайтом вы даете согласие» на обработку персональных данных. Это как вообще? Тем что я зашел на сайт, я даю согласие… Бред… Но насколько я понял, это вполне «нормальная» практика.
Вот, например, у «LPTracker» в предложенной политике конфиденциальности:
Обработка персональных данных Посетителя, в соответствии с настоящей Политикой обработки данных, может включать в себя следующие действия (операции): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Может, конечно, кто-то скажет, что я параноик, но мне бы не хотелось попадать на сайты с такой политикой, особенно, если в случае ее неприятия данные не удаляются, а просто хранятся.
Многие оправдывают сервисы тем, что можно написать в личку потенциальному клиенту, пока он находится на сайте и предложить что-то, но для этого давно есть онлайн-консультанты, которые не вызовут столько вопросов у пользователя по поводу того, откуда вы получили информацию о них.
С другой стороны, есть возможность попытаться вернуть потерянного клиента… Не знаю, смотря с какой стороны посмотреть, но мне все же кажется, что нужно быть честным до конца и без явного согласия пользователя не использовать подобные методы.
Кроме того, есть более-менее честные способы и сервисы, которые, по моему мнению достойны внимания. Например, Carrot Quest. Пока собирал информацию о кликджекинге наткнулся на их статью в Spark и заинтересовался сервисом.
Суть в том, что они идентифицируют пользователей по социальным сетям, но только тех, кто уже оставил вам свой email, то есть заполнил и отправил контактную форму или подписался на рассылку. При этом, у посетителя есть возможность ознакомиться с политикой конфиденциальности до того, как о вас узнают информацию.
По сути, сервис делает все то, что вы можете сделать сами. Например, вы получили от пользователя письмо через форму обратной связи на сайте. Взяли его email и вбили в поиске по людям в Facebook. Нашли его профиль, а у него там имя, фамилия, телефон и другие данные. Все это делает и Carrot Quest, только быстрее, автоматически и по нескольким социальным сетям.
При этом, у пользователя есть возможность ознакомится и принять политику конфиденциальности, без автоматического согласия при присутствии на сайте.
Вообще у сервиса это не основная специализация, там есть онлайн-чат, собственная eCRM система, конструктор всяких поп-апов и т.д, и, когда-то давно, я даже упоминал о нем на блоге. Так-что, судя по всему, сервис надежный, так как держится на плаву уже несколько лет.
Думаю, что это более-менее честно. А как вы относитесь к такому вида кликджекинга и подходу, который предлагает Carrot Quest? Был ли у вас опыт использования таких инструментов? Каких именно? Напишите пожалуйста в комментариях.
Не используйте эти скрипты на своем сайте
[email protected]
Позвонить
Обучение mёbius
- Digital marketing
- Карта сайта
- Магазин
- Связаться с нами
- INSTAGRAM версия сайта
- Услуги
- Сервис онлайн-бронирования для сайта
- Таргетированная реклама в Инстаграм
- Внедрение amoCRM
- СRM для клиники 🚑
- Обзвон клиентов
- Консультация
- Платный курс
- Маркетинг курс: Старт
- Маркетинг курс: Бизнес
- Создать сайт за 3 дня
- 👩🎓Отзывы о курсе
- Выбрать курс
- Бесплаточки
- Таргетированная реклама в Facebook ☑️
- CRM – система. Внедряем сами ⚙️
- Как создать бота?
- Блог
- 🔥 О себе
- FAQ
Search
Generic filters
Hidden label
Hidden label
Hidden label
Hidden label
- Digital marketing
- Карта сайта
- Магазин
- Связаться с нами
- INSTAGRAM версия сайта
- Услуги
- Сервис онлайн-бронирования для сайта
- Таргетированная реклама в Инстаграм
- Внедрение amoCRM
- СRM для клиники 🚑
- Обзвон клиентов
- Консультация
- Платный курс
- Маркетинг курс: Старт
- Маркетинг курс: Бизнес
- Создать сайт за 3 дня
- 👩🎓Отзывы о курсе
- Выбрать курс
- Бесплаточки
- Таргетированная реклама в Facebook ☑️
- CRM – система. Внедряем сами ⚙️
- Как создать бота?
- Блог
- 🔥 О себе
- FAQ
Search
Generic filters
Hidden label
Hidden label
Hidden label
Hidden label
- Digital marketing
- Карта сайта
- Магазин
- Связаться с нами
- INSTAGRAM версия сайта
- Услуги
- Сервис онлайн-бронирования для сайта
- Таргетированная реклама в Инстаграм
- Внедрение amoCRM
- СRM для клиники 🚑
- Обзвон клиентов
- Консультация
- Платный курс
- Маркетинг курс: Старт
- Маркетинг курс: Бизнес
- Создать сайт за 3 дня
- 👩🎓Отзывы о курсе
- Выбрать курс
- Бесплаточки
- Таргетированная реклама в Facebook ☑️
- CRM – система. Внедряем сами ⚙️
- Как создать бота?
- Блог
- 🔥 О себе
- FAQ
Search
Generic filters
Hidden label
Hidden label
Hidden label
Hidden label
Кликджекинг перечень сервисов, проверка сайта на нарушения Яндекс clickjacking
Clickjacking – мошенническая технология, которая позволяет владельцам сайтов собирать пользовательские данные. Например, клиент заходит на сайт и может незаметно для себя оформить подписку в социальных сетях или поставить лайк под какой-либо записью, а также передать все свои данные владельцу интернет магазина. Результатом данной технологии являются навязчивые звонки и рассылка на почтовые ящики клиента.
Вот выдержка из Википедии о работе данной технологии:
Как работает алгоритм Кликджекинг?
Выявление нарушения clickjacking происходит только по факту его использования. Если вредоносный код расположен на страницах сайта, но вы не пользуетесь данным сервисом, то бояться вам нечего.
На основании данных поисковой системы Яндекс, большинство сайтов используют именно сторонние сервисы с кликджекингом. Для чего же владельцы сайтов намеренно размещают вредоносный код на своем ресурсе? Порой они даже не подразумевают, что мошенническая технология присутствует на сайте партнере, который обещает увеличить продажи на 50% и выше.
Всего за первый месяц работы алгоритма, под нарушения попали 15 000 ресурсов различных тематик. В черные списки были занесены более 50 сервисов, которые использовали запрещенную технологию.
Как не попасть под нарушения Кликджекинг?
Изучите услуги сервисов, которыми вы хотите воспользоваться. Если есть пункты по сбору пользовательских данных, то обязательно уточните у технической поддержки способы реализации данного функционала.
Если в услугах вы найдете возможность захвата пользователей из социальных сетей, то откажитесь от использования данного ресурса.
Если сервис предлагает получить телефоны или email пользователей, то это должно вас насторожить и опять же проверить технологию получения персональных данный.
Менеджеры сервисов порой недоговаривают об использовании запрещенной технологии кликджекинга, т.к. основной их задачей является продажа продукта, пусть он и сомнительного качества. Лучше всего самостоятельно изучить возможности ресурса и при малейшем подозрении – отказаться.
Признаки Clickjacking
Резко снижаются позиции по ВЧ и СЧ запросам.
Следующий шаг — понижение НЧ запросов.
В итоге в вебмастере Яндекс появляется сообщение о нарушении за Кликджекинг.
Вот пример некоторых запросов, которые показали резкое понижение позиций.
Как проверить кликджекинг на сайте?
Чтобы проверить кликджекинг на сайте, вам понадобиться плагин для браузера Firefox – firebug. После его установки вы сможете проверить, какие сервисы на данный момент использует сайт.
Смотрим, какие сервисы были подключены к вашему сайту.
Переходим на подозрительные сайты, в нашем случае это interget.ru. Анализируем его функционал и возможности. После изучения приходим к выводу, что именно он причина нарушения Кликджекинга.
Удаляем вредоносный код с нашего сайта. Можно не удалять, а всего лишь перестать его использовать, как это рекомендует Яндекс.
Подождать 2 – 3 недели пока поисковый робот зафиксирует отсутствие нарушения.
Сервисы кликджекинг, за которые могут наложить санкции:
- admeo.ru;
- perezvoni.com
- lptracker.ru;
- intarget.ru
- soc-spy.ru
- soctraffic.ru
- vk-tracker.ru
- xoctracker.com
- socfishing.ru
- lptracker.ru
- socfishing.ru
- leadvizit.ru
- socbox.ru
- soceffect.ru
Кейс по устранению нарушения Кликджекинга.
Мой клиент очень любит экспериментировать с новыми сервисами, которые позволяют увеличить количество продаж и отследить эффективность той или иной рекламной компании. Все бы хорошо, но вот со специалистом сео, как всегда, никто не советовался. В один прекрасный момент у нас на сайте появилось нарушение – Кликджекинг.
Первое нарушение появилось из-за сервиса interget.ru. Все было достаточно просто:
Я при помощи firebug определил все сервисы, которые использовались на сайте. Смотрите рисунок выше.
Проанализировал услуги и выявил подозрительный сайт.
Удалил код данного сервиса.
Нажал в вебмастере кнопку исправить.
После 3-го поискового апдейта Яндекса все позиции по запросам вернулись на свои места.
Второй раз, когда сайт попал под фильтр Кликджекинга, все было не так однозначно как в первый раз. Признаки опять были одни и те же, понижение позиций сначала по ВЧ и СЧ, а потом и по НЧ запросам. Через время появилось нарушение в Вебмастере Яндекса.
Я нашел три сторонних сервисов, которые были подключены:
calltouch.ru, center-sms.ru, me-talk.ru
Проанализировав услуги вышеприведенных сайтов и переговорив с их технической поддержкой, я пришел к выводу, что они непричастны к санкциям.
Написал в техническую поддержку и описал все проделанные работы. Техническая поддержка согласилось со мной и сняла санкции.
После очередного апдейта санкции вернулись на сайт, что меня очень удивило.
Далее я в течение 14 дней общался с технической поддержкой, где доказывал, что я белый и пушистый. Итог всех переписок – мне прислали, по версии алгоритма, вредоносный код, который размещен на сайте.
Просканировав весь сайт, я нашел данный код на закрытой от индексации странице. По этому вопросу я опять же написал в техническую поддержку Яндекса, но ответа так и не увидел.
Повторно уведомил Платона об устранении всех причин нарушения. В течение 1 – 2 дней фильтр был снят.
Советы по снятию санкций за Кликджекинг:
Проверяйте все используемые сервисы. Получить санкции легко, а вот выйти из-под них – это длительный и дорогостоящий процесс.
Если вы попали под санкции, анализируйте все страницы, даже если они закрыты от индексации.
Пишите в техническую поддержку, т.к. не всегда можно определить истинную причину проблем на сайте. Но при написании вопроса вы должны подкреплять слова фактами, иначе ответ технической поддержки будет такой:
Если вы не знаете с какой стороны подойти к данному нарушению, вы можете заказать проверку сайта на кликджекинг. Нажмите кнопку заказать и в форме сделайте пометку «Кликджекинг» с описанием проблемы. Я оперативно свяжусь с вами и помогу решить проблему.
сервисы clickjacking vk tracker яндекс и wantresult
Недобросовестные веб-дизайнеры используют различные технологии для решения своих проблем. Например, размещение ссылок на вредоносные сайты, запуск механизмов слежения за пользователем (и сбор данных о нем), а также кликджекинг.
Нужно сказать, что сбор и использование личной информации практикуют почти все крупные компании, работающие в сети. В первую очередь – Yandex и Google. Не брезгует сбором персональных данных и популярная социальная сеть ВКонтакте при помощи разработанного скрипта vk tracker. Сведения собираются самые разные, вплоть до срока действия банковской карты, данных о родственниках, контактные данные (номера телефонов).
С данным явлением можно бороться по-разному, но добиться 100% конфиденциальности практически очень трудно. А большинству пользователей это и не нужно. Однако защита личных данных от злоумышленников – это более реальная проблема.
Что такое кликджекинг
Clickjacking – это способ обмана пользователя, при котором он, нажимая на какую-либо ссылку, совершает некое действие помимо своей воли.
Справка. В качестве примера можно привести такой вид мошенничества, как подмена документов, которые человек подписывает в реальной жизни. Доказать факт подобных преступлений трудно.
Этот эффект достигается при помощи размещения специальных скриптов в коде страницы. Программное обеспечение подменяет линки или устанавливает невидимые элементы на сайте.
Для чего нужны невидимые кнопки
Использование прозрачных элементов позволяет подменять те ссылки, которые пользователь видит на те, которые интересуют веб-разработчика. Например, читатель «кликает» на кнопку «Посмотреть видео», но кроме просмотра одновременно ставит «лайк» определенному пользователю социальной сети.
Таким образом происходит (вопреки желанию пользователей) продвижение различных интернет-ресурсов. Этим активно пользуются недобросовестные маркетологи, зарабатывая тем самым немалые деньги. Бороться с подобными явлениями крайне сложно, чаще всего попросту невозможно.
Кликджекинг следит за тобой
Один из новейших вариантов его использования – идентификация пользователя с использованием, например, его профиля в фейсбуке.
Механизм прост: при посещении какого-либо сайта за курсором читателя следует невидимая кнопка (например, «лайк» из контакта Facebook), и куда бы ни нажал пользователь, он эту кнопку также активирует, хотя и против своей воли. В результате этого действия человек становится «другом» некоего лица, который теперь сможет получить данные о профиле, подписчиках, группах пользователя. Информация будет передана в базу данных злоумышленников. В частности, ID (идентификационный номер).
В некоторых случаях возможен перехват управлением аккаунта, другими словами, взлом страницы и ее использование в личных целях, например, для распространения рекламы. Часто целью мошенников является личная переписка, фотоматериалы, видео и так далее.
Аналогичные «шпионы»
Не все пользователи (и даже владельцы сайтов) понимают, чем именно кликджекинг отличается от других легальных маркетинговых технологий, которые широко используются в сети.
Например, ретаргетинг или wantresult – используется для повторной демонстрации продукта компании, если человек хотя бы раз посетил ресурс определенной организации.
Технически это реализуется размещением на сайте определенного кода, он реагирует на некоторые действия посетителя (просмотр продукции, регистрация и так далее), передавая информацию в базу данных, например, той социальной сети, где пользователь зарегистрирован. Также происходит попытка сохранить идентификатор пользователя в куки браузера.
Таргетированная реклама по коду из соцсетей
Если пользователь открывает свою страничку в соцсети, его идентификатор будет определен (из сохраненных куков). Теперь он будет чаще видеть рекламные баннеры, описывающие и предлагающие товары или услуги, которыми он ранее интересовался. Например, после посещения ресурса автосалона, будут рекламировать услуги по продаже автомобилей, если был проявлен интерес к спортивным событиям, скорее всего, появятся объявления букмекеров.
Сами социальные сети не занимаются напрямую внедрением подобных механизмов, но активно продвигают их, предоставляя место под рекламу. Такие методы не преследуют никаких иных целей, кроме продвижения товаров, поэтому никакой опасности не представляют.
Социальный замок
Для увеличения аудитории используют одноименный плагин, принцип работы достаточно прост: при чтении текста пользователь замечает, что его часть скрыта, а для продолжения просмотра следует «кликнуть» на кнопке какой-либо социальной сети. Таким образом, в обмен на «лайк» читатель получает интересный контент.
Как показывает практика, данный способ сильно увеличивает аудиторию, при этом кликджекингом не является, пользователь решает сам: нажимать ему на кнопку или нет.
Форма подписки
Это вид почтового маркетинга, также реализуется в виде плагина на сайте. В некоторых случаях уместно, например, если ресурс посвящен кулинарии, можно реализовать рассылку новых рецептов.
Иногда в сообщество можно вступить, подписавшись на рассылку, но опять-таки это действие происходит с согласия пользователя.
Push-рассылки
Технология браузерных рассылок часто воспринимается как нечто родственное кликджекингу. Но это не так. Как правило, при первом посещении сайта всплывает окошко с предложением показывать сообщения ресурса. Если пользователь нажмет кнопку «Не разрешаю», никаких всплывающих окон он не увидит.
Будьте осторожны — сервисы-вредители
Может случиться, что при активации какой-либо ссылки идет перенаправление на некий вредоносный ресурс.
Это может быть фишинговый сайт, где под разными предлогами будут производиться попытки выудить личную информацию о пользователе, например, номера банковских карт, пароли и так далее.
Иногда создаются псевдо-интернет магазины. Покупатель оплачивает покупку, но ничего не получает. Очень часто внешне эти сайты как две капли воды похожи на известные ресурсы.
К сожалению, современные технологии позволяют штамповать подобные страницы в неограниченном количестве. Часто встречаются копии страничек интернет-банков (например, часто подделываются под Сбербанк), крупные организации могут повлиять на фальшивые ресурсы и просто закрыть их. Пользователи как правило сами сообщают сотрудникам финансовых организаций о появившихся клонах.
Важно. При выявлении подобных ресурсов необходимо обращаться в правоохранительные органы. В том числе – международные, например, CERT-GIB.
Довольно часто встречаются различные пугающие сообщения о том, что компьютер заражен вирусом, и вся информация будет удалена, после чего появится сообщение о том, что надо отправить СМС, получить код и так далее. К сожалению, очень часто на ПК действительно запускается процесс, найти который и удалить довольно сложно. Но отправлять сообщения на какие-либо номера не рекомендуется.
Еще один из сценариев развития событий – тихий запуск какой-либо вредоносной программы на ПК. Ее цели могут быть различны – от воровства личных данных, до использования ресурсов компьютера жертвы.
Совет. Рекомендуется как можно чаще обновлять антивирусные базы и файервол. Это поможет устранить большинство проблем с безопасностью.
Наказание за слежку
По существу данный метод не является чем-то опасным, то есть размещение кода, который собирает информацию о пользователе, для самого сайта не имеет особого значения. Однако создатели поисковых систем борются с явлением кликджекинга.
Важно. Следует отметить, что бесконтрольное размещение подозрительных ссылок на сайте может привести к его падению в рейтинге. Поэтому рекомендуется пользоваться услугами проверенных веб-мастеров.
От Яндекса
Yandex предусматривает санкции за внедрение кода, использующего кликджекинг, с понижением позиций ресурса (сайта) на 20-30 пунктов.
Справка. Разработчик (или владелец) не получит никаких уведомлений от администраторов поисковика. Рейтинг будет понижен без отправления сообщений и объяснений.
Следует внимательно следить за изменением кода сайта, особенно если ресурс используют для размещения рекламы и сторонних ссылок. Из-за санкций можно потерять былые позиции, что повлечет за собой кратное уменьшение доходности.
От Гугла
Google разработал собственную систему защиты от кликджекинга, это фильтры, алгоритм работы которых постоянно обновляется. Злоумышленники все время выдумывают новые способы обхода блокировок, но их так или иначе вычисляют и блокируют.
Также обнуляется трафик, относящийся к сайтам недобросовестных веб-мастеров.
Как предохраняться
Защититься от кликджекинга можно, но это должна быть комплексная защита.
- Необходимо обновить браузер, его плагины. Особенно касается Flash, старые версии более уязвимы, разработчики постоянно работают над устранением «дыр» в защите.
- Использование специальных приложений. Часть из совершенно бесплатна.
- NoScript – плагин для Firefox. Поставляется бесплатно;
- ScriptSafe – для Chrome;
- Comitari Web Protection Suite – бесплатная версия софта для защиты от интернет-угроз.
Никогда не сохранять пароли в браузере, вводить их вручную. Это касается, как минимум, тех сайтов, где содержится конфиденциальная информация. Злоумышленники в некоторых случаях могут вскрыть базу паролей и похитить данные или деньги.
Использовать дополнительные почтовые ящики для регистрации, которые не привязаны в аккаунтам в социальных сетях.
В качестве дополнительных мер по защите своих данных часто пользователи отключают воспроизведение flash-роликов (можно оставить в виде исключения Youtube).
Если требуется восстановить рейтинг сайта, придется уточнить у Yandex или Google, какова причина блокировки или понижения.
В Яндексе для этого существует сервис «Вебмастер». Нужно выбрать тот сайт, который попал под санкции, просмотреть список фатальных ошибок.
Если нажать кнопку «Подробнее», то можно будет уточнить данные.
Справка. Если владелец исправил код, то есть удалил фрагменты, вызвавшие санкции, то он может нажать на кнопку «Я все исправил», восстановление произойдет не сразу. В лучшем случае – через несколько дней.
Заключение
Подавляющее большинство пользователей прекрасно осведомлены о том, что не нужно «кликать» на подозрительных (или незнакомых) сайтах, а вообще следует избегать их посещения. Тем не менее, информация собирается злоумышленниками почти беспрепятственно, десятки тысяч пользователей становятся жертвами кликджекинга в мире.
В результате крадутся конфиденциальные данные, похищаются деньги, аккаунты в социальных сетях. С каждым годом методы преступлений становятся все более изощренными, поэтому необходимо повышать уровень знаний, задействовать адекватные меры безопасности.
как проверить сайт и снять фильтр за кликджекинг в Яндекс
В декабре 2015 года Яндекс ввел новый фильтр, который наказывал за так называемый «кликджекинг». В 2016 году вебмастерам и владельцам сайтов пришлось выводить свои сайты из-под фильтра. В статье мы дадим подробные рекомендации по диагностике и снятию этого фильтра.
Что такое кликджекинг
Кликджекинг (от англ. Clickjacking) – это технология обмана пользователей интернета, основанная на том, что на странице кроме видимых элементов располагаются невидимые. Невидимые кнопки, ссылки размещаются поверх видимых кнопок и ссылок — там, где кликают пользователи. Соответственно, по клику происходит действие, которого пользователь не ожидал: например, подписка на какую-то группу в соцсети.
В Рунете одним из распространенных проявлений кликджекинга стал так называемый «соцфишинг».
Соцфишинг – это одна из технологий определения контактных данных по профилю в социальной сети для пользователя, который зашел на сайт, но не оставлял никаких данных. Для этого нужно выполнить 2 условия: посетитель сайта должен быть авторизован в социальной сети, а также выполнить хотя бы 1 клик на сайте.
Как это работает. Владелец сайта или вебмастер регистрируется в одном из сервисов, использующих соцфишинг, получает код этого сервиса и ставит на свой сайт.
На сайте появляется невидимый слой (фрейм), куда загружается кнопка «Мне нравится» от ВКонтакте, которая следует за курсором. Как только вы где-то кликнете, то автоматически нажмете эту невидимую кнопку. Если вы в браузере авторизованы в социальной сети ВКонтакте, то такое действие поможет сервису определить ваш профиль и получить общедоступные данные профиля (адрес профиля, имя, а также телефон и мейл, если они общедоступны).
После чего эти данные передаются сервису, а он уже продает их владельцу сайта, установившему код. Используя их, вы можете связаться с людьми, которые заходили к вам на сайт. Стоит ли говорить, что они этого не ожидают, ведь они не передавали вам никакие персональные данные?
Результат действия подобного сервиса примерно такой: вам в личные сообщения пишет неизвестный человек и предлагает услугу.
Во всех случаях, что мы видели, подобные сервисы используют именно кликджекинг и Яндекс с этим согласен.
При этом обычные виджеты соцсетей, конечно же, не являются кликджекингом:
Фильтр за кликджекинг
В декабре 2015 года Яндекс ввел новый фильтр за кликджекинг (новость в блоге Яндекса), который наказывает за использование подобных технологий. Заявлено, что такие сайты будут ранжироваться ниже.29 января 2016 года Яндекс опубликовал новую статью с советами и статистикой: за время работы нового фильтра было обнаружено более 15 000 сайтов, использовавших кликджекинг, а также около 50 сервисов, которые данную технологию предлагали.
Еще ряд важных тезисов из этой статьи:
К сожалению, с данным фильтром пришлось столкнуться и нам, поэтому алгоритм снятия фильтра будет дополнен данными реального кейса.
Все началось с того, что по одному из продвигаемых сайтов просели позиции без апдейта 16-го февраля. Просели на 12-28 позиций. В среднем, примерно на 20 позиций – так можно достаточно легко определить санкции такого рода. Позиции проседают по 60-90% запросов.
В нашем случае отслеживалось 394 запроса: в ТОП10 – было 83%, стало 171 – 36%. 57% запросов выпали из ТОП10 Яндекса.
Как определить наличие фильтра за кликджекинг
Мы не знали, что это за фильтр, однако определить его быстро и просто.
Заходим в Яндекс.Вебмастер, раздел «Диагностика» — «Безопасность и нарушения». Если фильтр есть, там будет четко про это написано. Так и было в нашем случае.
Мы также написали в техподдержку Яндекс, которая подтвердила санкции.
Как найти скрипт кликджекинга и проверить сайт?
К сожалению, это может быть непросто, если у вас недостаточно технических навыков. Вы можете делегировать эту задачу специалисту либо воспользоваться инструкцией, приведенной ниже.
Сперва приведем краткую инструкцию от Яндекса:
Если вы не можете определить какой из скриптов может вызывать проблему, определите сперва, какие скрипты подключены на сайте. Для этого зайдите в исходный код сайта (комбинация Ctrl+U в браузере) и поищите в коде следующее (комбинация Ctrl+F в браузере):
Это поможет найти все скрипты. После этого необходимо определить, что это за скрипт, от какого сервиса он и не несет ли этот сервис угрозы.
Если вы найдете в коде скрипт, который содержит base64 – значит используется кодирование данных в ASCII текст и это главный кандидат на проверку. Вот пример кода сервиса, использующего кликджекинг:
Также можно проверить, не подключается ли виджет «Мне нравится» от ВКонтакте. Например, используем плагин Firebug для браузера FireFox и смотрим данные на вкладке Сеть – Все.
Пример: нашли, что подключается виджет лайков от vk.com (ищем widget_like_php). Стоит ли паниковать в данном случае?
Нет, ведь на странице есть кнопка, она не скрыта и используется строго по назначению:
В нашем случае мы нашли при проверке вот такой скрипт:
Мы были в курсе, что этот сервис использует кликджекинг, поэтому дальше нужно было его удалить. Но не все может быть так просто.
Посмотрите еще один пример:
Отлично, скрипт найден, удаляем его самостоятельно либо поручаем программисту.
Итак, скрипт удален! Что дальше? Идем в Яндекс.Вебмастер и нажимаем кнопку «Все исправил» под сообщением о санкциях. Но сперва убедитесь, что вы действительно устранили проблему и обратите внимание на некоторые нюансы от Яндекса:
После нажатия кнопки вы увидите следующее:
Это только дополнительный способ сообщить об устранении кликджекинга. Алгоритм среагирует после переиндексации сайта. Мы на всякий случай написали в техподдержку после устранения проблемы, но это не поможет – процесс автоматизирован. Вот ответ Яндекса:
Но вы можете ускорить переиндексацию сайта с помощью инструмента «Инструменты» — «Переобход страниц» в Яндекс.Вебмастере: можно переиндексировать в приоритетном порядке до 10 страниц в день.
Проблема была устранена 18 февраля – мы нашли и удалили код.
Позиции вернулись также без апдейта 26 февраля – спустя 8 дней. Сообщение о санкциях в панели вебмастера, тем не менее, осталось еще на 3 дня. Видимо, была задержка с обновлением данных.
Поисковый трафик из Яндекс полностью вернулся.
Сообщение о проблеме пропало.
До наложения фильтра в ТОП10 было 394 запроса – 83% всех запросов, а после снятия фильтра в ТОП10 стало 353 запроса – 74%. 41 запрос из 477 не вернулся в ТОП10 сразу после снятия фильтра. Остальные запросы вернулись на те же позиции с разбежкой в 1-2 позиции по сравнению с позицией до наложения фильтра.
Итак, подведем итоги в виде краткого чек-листа. Что делать, если вы обнаружили санкции за кликджекинг либо есть подозрения, что они есть, но вы не уверены?
Ответы на вопросы
Ниже даны ответы на популярные вопросы. Ответы дают представители Яндекса, мы просто собрали их из официальных новостей, чтобы вам не пришлось читать несколько сотен комментариев в поисках полезной информации. В целях экономии времени на чтение вопросы не приведены дословно, а упрощены.
Вопрос 1: будет ли штраф, если вебмастер сделает фон сайта кликабельным, (например, разместит там брендированную рекламу), а пользователь по ошибке туда кликнет.
Вопрос 2: будет ли штраф за «социальный замок», когда полезный контент показывается пользователю в обмен на лайк или репост в соцсети?
Вопрос 3: я использую сервис, в котором есть возможность включить функцию с использованием кликджекинга, но она отключена. Я могу попасть под фильтр?
Вопрос 4: у меня санкции за кликджекинг, но никак не могу найти код у себя на сайте. Что делать?
Вопрос 5: я использовал код кликджекинга в 2015, но уже давно его удалил. Почему сайт под фильтром?
Вопрос 6: я не использую ни одну из указанных систем, использующих соцфишинг, почему сайт под фильтром?
Вопрос 7: можно ли где-то проверить код сервиса, не использует ли он кликджекинг? Авторы сервиса уверяют, что санкций не будет.
Вопрос 8: код ретаргетинга Вконтакте – это кликджекинг?
Полезные материалы
Кликджекинг и «черный» способ получения контактов пользователя
Привет, друзья. Сегодня хотел бы поговорить об одном «черном» методе получения данных о пользователе с использованием этой технологии, порассуждать на эту тему и поделиться мнением.
Кроме того, было бы интересно узнать, что думаете по этому поводу вы, какую позицию занимаете вы, используя свой опыт использования кликджекинга на сайте для контактов пользователей, как это повлияло на прибыль и позицию сайта.
Для тех, кто впервые сталкивается с этим термином и технологией сбора информации о пользователях расскажу кратко в чем его суть, но сначала небольшое введение.
Наверное, многие из вас сталкивались с ситуацией, когда вы заходите на сайт, например, интернет-магазин. Посмотрели товары, возможно, даже что-то кинули в корзину, но потом, по какой-то причине не купили и закрыли сайт.
Через некоторое время смартфон, вот вам скидка 10% и бесплатная доставка.Возвращайтесь и закончите оформление заказа ». При этом вы можете оставить никаких личных контактных данных магазину.
С одной стороны — прикольно. Вы получили скидку и бесплатную доставку, а с другой…
- Как магазин узнал ваши контактные данные?
- Откуда он знает номер мобильного?
- Что еще ему известно о вас?
- Не нарушает ли он закон и сборе данных данных?
- Как данные используются?
- Кому передаются?
Особенно часто это можно встретить в финансовой сфере, во всяком случае в интернете больше всего из этой области.Когда банк или другая финансовая организация перезванивает предложение выпустить карту, получить кредит или оформить займ, хотя вы никому не передавали свои контакты.
Налицо все признаки кликджекинга или, как его еще называют, соцфишинга, текущего на сайте. Я не знаю откуда появилось второе название, видимо от одного из популярных сервисов, оказывающих таких услуг Socfishing. О нем мы еще поговорим позже.
Что такое кликджекинг (кликджекинг) и в чем заключается технология?
Кликджекинг — это такой механизм обмана пользователей на сайте, когда размещаются невидимые элементы, с которым пользователь взаимодействует, не подозревая об этом.
Самым простым примером может быть реклама, которая используется по верхнему ролика или кнопки на сайте. Человек одного жмета и ожидает одного действия, а его, например, перекидывают на другой сайт или предоставляют посмотреть рекламу.
Это безобидный вариант кликджекинга, который просто раздражает, но что, если при подобном клике сервис узнает о вас больше, чем передает браузер. Например ФИО, чем интересуетесь, на какие группы социальных сетей подписаны, номер телефона, электронная почта и многое другое…
Вот безобидный пример с полупрозрачным предложением вступить в группу.Хотя пользователь хочет нажать на текст «щелкните здесь»
. Приложение запрашивает доступ к данным, но раньше этого не было.
В реальности делается это все при помощи невидимого фрейма, например, с лайком от социальной сети, следит за курсором. И когда вы хотите кликнуть на какой-то элемент, то происходит клик не по нему, а виджету с лайком или присоединением в друзья.
Таким образом вы становитесь жертвой злоумышленника, и он может из соцсети достать всю информацию о вас, конечно, в той, которая там указана.При этом, дело не ограничивается только 1 социальной сетью. Если не удалось выудить электронную почту, то начали начинать пробивать вас везде и отовсюду добывать крупицы информации.
Вариантов развития событий множество, например, когда вы можете незаметно добавить в группу, а потом получить данные из профиля или сейчас существуют и такие сервисы, когда клик вообще не требуется, например, когда одной из открытых вкладок в браузере является социальная сеть. То есть в одну вкладку магазин, в другой ВК.
Как видите, не всем это может понравится, таким образом, при всей привлекательности способом контактных данных для предпринимателя многие люди и сервисы выступили против. Например, Яндекс еще в 2015 году призвал всех владельцев сайтов отказаться от кликджекинга и сейчас даже существует фильтр за использование этой технологии.
Поэтому с тех пор сервисы, предоставляющие услуги подобного рода, начали быстро «умирать». Казалось бы «не поиском единым». Есть контекст и много других способов привлечь внимание к сайту, но со временем люди стали получать отклонения рекламных компаний по причине кликджекинга.
Социальные сети начали использовать ограничения и бороться с подобной технологией, так и не признавая ее уязвимость, но часть похожих «дыр» все же существует, кликжекинг и соцфишинг до сих пор распространены.
Один из таких сервисов, предоставляющих идентификацию пользователей в социальных сетях, является вышеупомянутым SocFishing.com, который и привлекательное внимание. Они красиво расписывают свой продукт и выгода от таких услуг конечно же очевидна, в случае позитивной реакции пользователей и поисковиков.
Я попытался выяснить, как происходит процесс идентификации, но они сказали, что это коммерческая тайна, а на вопрос требуется ли от пользователя какое-то взаимодействие с сайтом посредством клика, они утвердительно ответили, что нет.
По поводу кликджекинга так и не ответили, хотя я прямо спрашивал он ли в основе работы сервиса, при этом заверили, что при наличии пользовательского соглашения, никаких проблем с законом не будет по поводу сбора данных данных.
По поводу гарантии того, что наличие их скрипта не навредит продвижению их поддержка не дала. При этом честно предупредили, что обращений от пользователей по поводу санкций со стороны Яндекса были.
Интервью с основателем сервиса на SeoPult
Вот такой неоднозначный сервис.
Как вы относитесь к тому, что магазин, банк или юридическая фирма собирают таким образом данные о вас? Параметры опроса ограничены, поскольку в вашем браузере отключен JavaScript.
Как видите, все на грани законности, здравого смысла, честности и порядочности. С одной стороны, они предупреждают, что нужна политика. А как о ней заявить пользователю это дело наше с вами. SocFishing начинает собирать информацию о нас.
Как же тогда быть с отказавшимися. Как передать эту информацию в систему и удалить из нее пользователя, без личного письма администратору с просьбой удалить себя из базы, если я отказался и не принял политику со сбором и обработкой данных, я ожидаю, что она не будет производиться.Видимо нам придется сделать так, чтобы скрипт загружался только после того, как пользователь согласился на обработку и сбор данных.
Посмотрите, что у них в предложенной политике написано:
Перечень действий с персональными данными Посетителя Сайта, на совершение которых появляется доступ к данным. Обработка данных Посетителя, в соответствии с настоящей Политикой обработки данных, может начать следующие действия (операции): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу) , обезличивание, блокирование, уничтожение персональных данных.
Как вам такое соглашение? При этом: «воспользовуя с сайтом вы даете доступ» на наши услуги данных. Это как вообще? Тем что я зашел на сайт, я даю… Бред… насколько я понял, это вполне «нормальная» практика.
Вот, например, у «LPTracker» в предложенной политике конфиденциальности:
Обработка других данных Посетителя, в соответствии с настоящей Политикой обработки данных, может начать в себя следующие действия (операции): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Может, конечно, кто-то скажет, что я параноик, но мне бы не хотелось попадать на сайты с такой политикой, особенно, если в случае ее неприятия данные не удаляются, а просто хранятся.
Многие оправдывают сервисы тем, что можно написать в личку потенциальному клиенту, пока он находится на сайте и предлагает что-то, но для этого давно есть онлайн-консультанты, которые не вызовут столько вопросов у пользователя по поводу того, вы получили информацию о них.
С другой стороны, есть возможность попытаться вернуть потерянного клиента… Не знаю, смотря с какой стороны посмотреть, но мне все же кажется, что нужно быть честным до конца и без явного согласия пользователя не использовать методы.
Кроме того, есть более-менее честные способы и сервисы , которые, по моему мнению, достойны внимания. Например, Carrot Quest. Пока собирал информацию о кликджекинге наткнулся на их статью в Spark и заинтересовался сервисом.
Суть в том, что они идентифицируют пользователей по социальным сетям, но только тех, кто уже оставил вам свой адрес электронной почты, то есть заполнил и отправил контактную форму или подписался на рассылку. При этом, у пользователя есть возможность ознакомиться с политикой конфиденциальности до того, как о вас узнают информацию.
По сути, сервис делает все то, что вы можете сделать сами. Например, вы получили от пользователя письмо через форму обратной связи на сайте. Взяли его электронную почту и вбили в поиске по людям в Facebook. Нашли его профиль, а у него там имя, фамилия, телефон и другие данные. Все это делает и Carrot Quest, только быстрее, автоматически и по нескольким социальным сетям.
При этом у пользователя есть возможность ознакомления с использованием конфиденциальности и конфиденциальности при использовании автоматического согласия на сайте.
Вообще у сервиса это не основная специализация, там есть онлайн-чат, собственная система eCRM, конструктор всяких поп-апов и т.д, и, когда-то давно, я даже упоминал о нем на блоге. Так-что, судя по всему, сервис надежный, так как держится на плаву уже несколько лет.
Думаю, что это более-менее честно. А как вы относитесь к такому виду кликджекинга и подходу, который предлагает Carrot Quest? Был ли у вас опыт использования таких инструментов? Каких именно? Напишите пожалуйста в комментариях.
.
Кликджекинг: что это такое?
Кликджекинг (кликджекинг) — обманная технология, основанная на размещении видео вызывающих какие-то действия невидимых элементов на сайте поверх видимых активных (кнопки, воспроизведение и т. Д.). В результате пользователь, сам того не зная, совершает что-то, что не входило в его планы. Например, воспроизводится видео, но подписывается на чью-то рассылку.
Цель кликджекинга может быть любой — от более менее безобидной накрутки социальных сетей или подписчиков до скрытого получения данных, совершения покупок за чужой счет и т.д. Чаще всего идет взаимодействие через социальные сети: лайки, вступления в сообщество, кражу личных данных из профиля.
Отношение поиска систем
Яндекс относит кликджекинг фактор, негативно влияющий на ранжирование сайта, потому что технология в той или иной степени наносит вред пользователям.
При обнаружении использования обманной технологии позиции сайта в органической выдаче Яндекса понизятся, пока не прекратится использование кликджекинга.
Отмечают проседание позиций на 20–30 пунктов и заметное снижение поискового трафика по брендовым запросам.
Ограничения в ранжировании в течение двух неделей после устранения проблемы. В редких случаях нужен срок немного больше.
Наложение санкций за кликджекинг отображается в разделе «Безопасность и нарушения» в Яндекс.Вебмастере.
В Яндекс.Браузере сайт будет показываться с предупреждением, что может заметно сказываться на кликабельности.
Решение о наложении санкций только по актуальным. То есть использование кликджекинга, например, месяц назад не сказывается на его сегодняшнее положение в выдаче Яндекса.
Если код обманной технологии есть, но неактивен, ограничения в ранжировании на поиске Яндекса не будет.
Google официально не разрешает использовать ресурсы сайта в выдаче, но замечены в ресурсах исключаются из контекстно-медийной сети, их владельцы не могут зарабатывать на размещении рекламы от Гугла.
Риски
Не все владельцы сайтов знают, что на их ресурссе используется кликджекинг. Он может быть добавлен незаметно вместе с любым кодом неизвестного происхождения.
Разработчики не афишируют, что применяют кликджекинг. А результат его работы, например кражу электронных данных, могут выдавать как достигаемые другими методами.
Так, например, кликджекинг используют некоторые сервисы, обещающие повысить с помощью идентификации посетителей через социальные сети. Контакты пользователя сохраняются в системе и употребляются для рассылки спама, осуществления навязчивых звонков и т. д.
При решении вопроса о добавлении какого-либо кода на сайт должны насторожить следующие обещания разработчика:
- идентифицировать пользователей по аккаунтам в социальных сетях;
- информацию, которую пользователь явно не указывает.
Сервисы, оказывающие услуги, необязательно используют кликджекинг, так как есть и другие, не вызывающие пользователей, не вызывающие понижение в ранжировании в Яндексе. Но недобросовестные разработчики могут на самом деле применить и кликджекинг, выдавая за другой методику. Поэтому нужно проверять работу всех добавляемых на сайт элементов.
Код может быть размещен осознанно или нет только владельцем сайта. Технологию могут внедрить злоумышленники, взломав ресурс.
Как строительство кликджекинг
Если в Вебмастере Яндекса появилось сообщение, что сайт использует обманную технологию, нужно выявить элементы, указанный код.
Найти их можно с помощью специального софта или вручную.
Пример софта — расширение Clickjacking Reveal для Google Chrome. Нужно произвести установку, на исследуемом сайте открыть Инструменты разработчика (Ctrl + Shift + I), обновить страницу (Ctrl + F5). Расширение найдет вредоносный код.Если он есть, откроется вкладка Source. В ней будут указаны скрипты, использующие обманную технологию.
найти кликджекинг элементы вручную, нужно выявить скрытые. Для этого используется консоль. Во время проверки нужно быть авторизованным в какой-нибудь социальной сети.
Необходимо выполнить следующие действия:
- Авторизоваться в соцсети (например, во «ВКонтакте»).
- Очистить куки сайта в браузере.
- Открыть консоль (сочетание клавиш Ctrl + Shift + I или Ctrl + Shift + K для Mozilla Firefox).
- Загрузить исследуемую страницу.
- Произвести какие-нибудь действия, имитируя активность обычного пользователя.
- Посмотреть, есть ли обращение к социальной сети. Для этого на вкладке «Сеть» в консоли нужно поискать записи, соответствующие событиям соцсети. Для «ВКонтакте» это widget_auth.php — авторизация, widget_like.php — лайк.
- Далее нужно найти код, вызывающий подгрузку скрытых элементов. Во вкладке «Инспектор» нужно найти фрагменты кода, обращенные к социальным сетям.Каждый элемент нужно проверить: относится он к по-видимому или скрытому участку. Для этого достаточно навести курсор и посмотреть выделенную область экрана.
- Если на вкладке «Сеть» есть обращение к социальным сетям, а во вкладке «Инспектор» не удается вызвать его фрагмент кода, — это кликджекинг.
- Выявить код можно, удаляя сомнительные фрагменты, проверяя при этом, не исчезло обращение к социальным сетям. Особое внимание следует уделить элементам скрипт, iframe и объект.
Если найден код, являющийся причиной кликджекинга, его нужно удалить. Предварительно пытается не нарушить работу каких-то необходимых и безопасных для пользователей элементов.
После устранения кода кликджекинга нужно перейти в раздел «Безопасность и нарушение» в Вебмастере Яндекса и нажать на кнопку «Я все исправил», чтобы быстрее произошла повторная проверка.
Что не относится к кликджекингу
Внедрение санкций со стороны Яндекса за кликджекинг вызвало много вопросов о некоторых размещаемых на сайтах элементах.Что не попадает под определение и может сообщить:
- код для ретаргетинга из «ВКонтакте». При его установке собирается информация о том, что на сайте смотрел пользователь, а потом в соцсети ему демонстрируется «догоняющая» реклама. Так как все данные обезличены, это не кликджекинг;
- формы для оставления комментариев через социальную сеть. Если они не скрытые, то не попадают под определение и не влияют на положение сайта в выдаче Яндекса;
- социальный замок.Делает недоступной часть контента, пока ссылка на страничку не поделятся в соцсети. Такой замок не собирает данные, и пользователь о нем знает, поэтому никаких санкций.
Не любое взаимодействие сайта с социальной сетью может относиться к кликджекингу. Обманная технология — это только та, которая работает без ведома пользователей, скрыта от них, тайно получает данные, которые они не собираются о себе сообщать, или заставляет неосознанно совершать незапланированные действия.За использование легальных технологий, обращающихся к соцсетям, со стороны Яндекса нет санкций.
.
Что такое кликджекинг и в чем его опасность для пользователя | Интернет
Чем дальше идёт развитие технологий, тем больше появляется разных уловок от мошенников. К одной из таких ловушек относится кликджекинг.
Для многих это просто непонятное слово, поэтому стоит рассказать об этой технологии, чтобы понимать, с чем можно столкнуться при посещении сайтов.
Содержание:
1.Кликджекинг — что это такое
2. Секрет использования кликджекинга
3. Санкции для сайтов за кликджекинг
Что такое кликджекинг
В Яндекс.Блоге для вебмастеров дается такое объяснение:
Кликджекинг (англ. Clickjacking) — механизм обмана. с размещением на сайте невидимых элементов, взаимодействие с пользователем осуществляет, не подозревая этого.
Другими словами, это обманная технология, с помощью которой владелец сайта может узнать о конфиденциальной информации различного рода.Это может быть
- адрес электронной почты посетителей,
- адрес электронной почты в социальных сетях (профиль ВКонтакте, Фейсбук),
- номер телефона
- и т.п.
Получив такие сведения о посетителя, владелец (администратор) сайта может использовать их по своему усмотрению, например, для повышения продаж со своего сайта.
В чём секрет использования кликджекинга
На сайте устанавливается код. Благодаря ему на сайт накладывается невидимый, прозрачный элемент, что-то вроде шапки-невидимки.Он может находиться в определенном месте, как правило, поверх кнопок, видеороликов, форм или же, как бывает во многих случаях, передвигаться за курсором. В последнем варианте пользователь однозначнокнет на этот элемент, соответственно, предоставленному приложению открытие и использование личной информации из своего профиля.
Таким образом, данные как будто были переданы добровольно, однако пользователь об этом даже не подозревает. Вся получаемая информация сайта сохраняется в системе, доступной администрации, а это значит, что им видно, кто конкретно посетил сайт.Как следствие посетители могут получать нежелательные звонки и письма, как это уже может расцениваться, как вторжение в личное пространство.
Кликджекинг используется для привлечения клиентов (то есть, для лидогенерации). Каким видом лидогенерации является кликджекинг: черным или серым? Уже из самого названия понятно, что эти виды привлечения клиентов не являются честными. Отсюда можно сделать вывод, что кликджекинг — это не есть хорошо.
Санкции поисковиков за кликджекинг
Поисковые системы активно преследуют подобного рода сайты.Так, к примеру, Яндекс за использование кликджекинга накладывает на сайт штрафные санкции. Специальные алгоритмы, анализируют у поисковиков, в два счёта вычисляют нарушителей. В качестве наказания такие сайты понижаются в результатах поиска, а могут быть удалены оттуда.
Однако, как известно, в каждом правиле бывают исключения. Алгоритмы учитывают только актуальные данные. То есть если код для кликджекинга на сайте не используется, то Яндекс предпринимать ничего не станет.
Некоторые владельцы сайтов даже не догадываются, что на их сайте оказывается, есть подобный функционал.Дело в том, что для продвижения своего ресурса вебмастера используют различные сервисы, поэтому они ставят различные коды (скрипты на сайте), в составе которых используются различные услуги кликджекинга.
Проверить свой сайт можно с помощью Яндекс.Вебмастера или же если написать в службу поддержки. Если же присутствуют какие-либо санкции, необходимо проверить скрипты на сайте и отключить посторонние сервисы, которые могут использовать кликджекинг.
Google, в свою очередь, не снижает и не удаляет из результатов, однако владельцы подобных сайтов не помогают зарабатывать, размещают рекламу в Google.
Что ж, как говориться предупреждён — значит вооружён. Если появляются сомнения, то лучше воздержаться от просмотра подозрительных страниц. Только тогда можно быть спокойным, что персональные данные не попадут к нежелательным личностям.
Дополнительно:
1. Как мошенники обретают доступ к аккаунтам пользователей
2. Осторожно: примеры обмана на сайтах объявлений
.
Добавить комментарий